用于安全浏览的最佳 DNS 服务器

当您浏览网页时，您的路由器会发出 DNS 请求。 不过，默认情况下，您的 ISP 会看到您的所有搜索和网址。 您可以更改 DNS 设置以提高安全性和隐私性。

什么是 DNS 服务器？

DNS（动态名称系统）服务器是一种自动将人类可读的 Web 地址转换为 IP 地址的服务。 这很重要，因为无论是在家里还是在互联网上，每个网络设备都有一个 IP 地址。 像人类一样使用 IP 地址会很乏味。 即使我们能记住它们，我们也会打错。 这就是设计域名系统的原因。

当您尝试连接到网站时，您的路由器会检查该网站的详细信息是否在其缓存中。 如果不是，它会通过将网站的域名发送到 DNS 服务器来发出 DNS 请求。 DNS 服务器查找域名，找到 IP 地址，并将其发送回您的路由器，以便它可以尝试连接到托管该网站的 Web 服务器。

实际上，情况要复杂得多。 默认情况下，您的路由器连接的 DNS 服务器是由您的互联网服务提供商提供的 DNS 前身服务器。

相关如何修复 iPhone 上的“网络阻止加密 DNS 流量”

如果前体服务器没有在自己的缓存中保存网站的详细信息，它会向 DNS 根名称服务器发送请求。 根名称服务器使用可以处理所请求网站的顶级域（.COM、.INFO、.ORG 等）的顶级域服务器列表来响应前驱服务器。 前驱服务器将其请求重复到该列表中的顶级域服务器之一。

顶级域服务器使用实际保存域详细信息的 DNS 权威名称服务器的名称进行响应。 前驱服务器然后再次向权威名称服务器发出请求，以最终获得 IP 地址。

在我们的示例中，此人试图访问一个网站，但对于由域名标识的任何 Web 资源（例如电子邮件服务器）也是如此。

DNS、安全和隐私

使用 ISP 的默认 DNS 服务器会影响隐私和安全。

DNS 请求中的数据未加密，即使某些附加的元数据已加密。 中间人攻击或 ISP 的爱管闲事的员工可以很容易地暴露和审查您的在线活动。 这已经够糟糕了，但使用 ISP 的 DNS 服务器也会削弱您的安全性。

一些最常见的以 DNS 为中心的网络攻击包括：

• 分布式拒绝服务：这会产生大量虚假请求，使 DNS 服务器不堪重负，使其无法为真正的请求提供服务。
• DNS 欺骗/中毒：这会创建错误的、恶意的 DNS 响应，您的路由器会据此采取行动。 网络罪犯可以将用户发送到欺诈网站而不是真正的网站。 这些可能是收集登录凭据的网络钓鱼网站。
• DNS 劫持：恶意软件会感染您的计算机并更改 TCP/IP 设置和行为，以便将 DNS 请求重定向到网络罪犯的欺诈性 DNS 服务器。 这些将 Web 请求重定向到网络钓鱼或其他恶意网站。
• 域劫持：这是一种罕见的攻击形式。 它需要更改域注册商系统中的详细信息，以便将合法网站的存储详细信息指向假冒网站。

标准 DNS 中没有真正的安全性。 它所能做的就是检查来自下游服务器的响应是否来自请求发送到的同一 IP 地址。 这是一些东西，但它很难彻底。

开发域名系统安全扩展或 DNSSEC 是为了向 DNS 请求添加数字签名。 这些允许 DNS 服务器检查它们收到的数据是否确实来自它声称的来源。 这称为数据来源认证。 最重要的是，接收方可以验证数据在传输过程中没有被修改。 这称为数据完整性保护。

DNS over HTTPS，DoH，是一种加密 DNS 请求和服务器间流量的新协议。 但是，记录和缓存的 DNS 请求未加密。 它们仅在传输过程中加密。 当然，大多数 ISP 都会记录他们能做的一切，而且他们并不都支持 DNSSEC 和 DoH。

相关：更改 DNS 服务器的终极指南

用于安全浏览的最佳 DNS 服务器

公共 DNS 服务器将比您的 ISP 的默认产品更私密、更安全且速度更快。 以下是我们推荐的五种最佳 DNS 服务器：

OpenDNS 主页

• 主 DNS ：208.67.222.222
• 二级 DNS : 208.67.220.220

OpenDNS 于 2015 年被思科收购。“开放”部分意味着它接受来自任何地方的 DNS 请求。 它与开源无关。 OpenDNS 有付费和免费层。

思科的名声建立在一流的网络产品和专业知识之上。 思科对网络和流量路由的了解与地球上任何一家公司一样多。 它的业务遍及全球，并提供坚如磐石的 DNS 服务。

OpenDSN Home 支持 DoH 和 DNSSEC。 它还捆绑了内容过滤和恶意软件/网络钓鱼保护。 你不能选择退出。 您对他们的设置有一定的控制权，但不如您在他们的付费层级上所做的那么多。

或许更令人担忧的是，OpenDNS 会记录您的 DNS 查询、您的 IP 地址等，并将它所谓的“网络信标”放置在您访问过的页面上。

OpenDNS 快速且安全，但它的隐私问题会让一些人望而却步。

谷歌公共 DNS

• 主 DNS ：8.8.8.8
• 二级 DNS : 8.8.4.4

Google 的公共 DNS 对所有人免费，包括商业用途。 它是一项功能强大且可靠的服务，具有快速响应时间。 当然，您可以确定 Google 不会消失。

Google 的公共 DNS 支持许多查找协议，包括基于 HHTPS 的 DNS，它也支持 DNSSEC。 它还包括一些针对 DDoS 攻击的保护。

谷歌 DNS 的唯一问题是谷歌。 每个人都知道它通过收集数据并将其用于定向广告来产生收入。 它还与第三方收费共享数据。 因此，谷歌在稳健性和安全性方面得分很高，但在隐私方面得分不高。

谷歌表示，它收集的数据是匿名的，其中没有个人身份信息，所以这可能不会打扰你。 如果您已经在使用 Gmail、Android 或 Google 网络搜索引擎等 Google 产品，Google 将不会比现在更多地了解您。

但是，如果您不想与他们的“大技术、大数据、老大哥”公司机构打交道，那么 Google 将不适合您。

云焰

• 主 DNS ：1.1.1.1
• 二级 DNS ：1.0.0.1

Cloudflare 以内容交付网络提供商而闻名，它在镜像、分布式实例之间负载共享网站流量，并防止几乎任何规模的 DDoS 攻击。

它拥有最快的 DNS 性能，并公开承诺永远不会记录您的 IP 地址，并每 24 小时删除一次操作日志。 这是由毕马威会计师事务所独立核实的。

默认情况下，它不捆绑内容过滤和阻止，但您可以根据需要使用它。 要启用它，您只需使用 Cloudflare 的备用主要和辅助 DNS 服务器。

Cloudflare DNS 的设置可能很棘手，而且 Cloudflare 网站的导航也不是最直观的。 不过，一旦它运行起来，您就可以使用最快的 DNS，而且它会尊重您的隐私。

DNS观察

• 主 DNS ：84.200.69.80
• 二级 DNS : 84.200.70.40

DNSWatch 表示它支持网络中立性，并且不会尝试使用其 DNS 服务器过滤任何内容。 它也不记录任何 DNS 查询或用户历史记录。 DNSWatch 绝不会分享或出售您的数据，因为它不收集任何数据。

它确实支持 DNSSEC 和 DoH，但其他任何东西（例如针对网络钓鱼站点或恶意软件站点的保护）都由您自己决定。 它确实提倡的一件事是它拒绝对失败的请求进行任何劫持。

通常，如果您尝试访问的站点没有响应，ISP 会将您转到赞助搜索页面。 输入到该站点的所有内容都由您的 ISP 记录。 DNSWatch 不会这样做，它会向您显示浏览器的默认错误连接页面。

Quad9

• 主 DNS ：9.9.9.9
• 二级 DNS : 149.112.112.112

虽然 Quad9 的总部在欧洲，但它在全球 90 个国家/地区拥有 183 个 DNS 解析器集群。 这是一项免费服务。 它的服务器记录交易和性能数据，但不记录个人身份信息。 它记录时间戳、传输协议、请求的域及其地理位置等。

默认情况下，它通过阻止包含恶意软件或获取用户凭据的已知不良网站，提供 DNSSEC 和 DoH 之外的安全性。 被阻止站点的列表是从 20 多个公共和商业情报来源收集的。 它不会过滤或阻止内容、广告或网络跟踪器，只会过滤或阻止恶意网站。

如果您不想启用此阻止功能，您可以使用其备用主要和次要 IP 地址。

在速度方面，Quad9 的平均响应时间为 21 毫秒，并且具有 99.94% 的正常运行时间。 Google 和 Cloudflare 的响应时间在 10 毫秒左右，这是它们擅长的地方：原始速度。 然而，21mS 仍然快得让人眼花缭乱。 在正常操作中，您不会注意到两者之间有任何区别。

试试看； 他们是免费的

因为这些供应商都有免费的 DNS 服务，你可以挑一个试试。 或者多试几次。 我们有涵盖各种平台的指南：

• 如何在 Windows 10 上更改您的 DNS 服务器
• 如何在 Windows 11 上更改您的 DNS 服务器
• 如何在 Chromebook 上更改 DNS 服务器
• 如何在 Mac 上更改 DNS 服务器
• 如何在 Android 上更改您的 DNS 服务器
• 如何在 iPhone 或 iPad 上更改 DNS 服务器

请记住，安全和隐私不是一回事，并非每个 DNS 提供商都对它们给予同等重视。